Hallo zusammen,

die üblichen Popup-Meldungen diverser Scareware kenne ich größtenteils, aber bei dieser finde ich keinen Ansatz, um sie loszuwerden. Die mir bekannten Ursachen (Erweiterungen, Anmeldeobjekte) habe ich überprüft, Malwarebytes-Scan war ohne Befund.
Die Meldung ploppt während des Surfens mit Safari ohne erkennbaren Zusammenhang irgendwann auf, bei anderen Browsern (Chrome/Firefox) ist dies nicht zu beobachten.
Hat jemand eine Idee, wo das herkommt?


Vielen Dank und Gruß aus Bonn
Stefan

Es geht nicht hervor, ob du irgendeine Art von Antiviren-Software auf dem Rechner hast. Wenn ja, weg damit, die Bordmittel heutiger OS sind absolut ausreichend und sehr gut. Zusätzliche Software dieser Art reißt sogar heftige Lücken in die Sicherheitsarchitektur heutiger OS.

Hast du einen Adblocker drauf? Wenn nicht, dann ganz schnell nachholen. Adblocker sind mittlerweile leider sehr wichtig. Für Safari empfehle ich Adguard. Den muß man aber noch richtig schärfen, out of the box ist er noch nicht zu 100% scharf.

Prüfe ob in den Safari-Einstellungen Tab Websites Seitenleiste Mitteilungen ein Eintrag von einer verdächtigen Website ist. Falls ja, dann löschen.
Das sieht zwar nicht wie eine Nachricht aus der Mitteilungszentrale aus, aber vielleicht wird dennoch die Berechtigung dort gesteuert. Alternativ noch bei Tab Websites Seitenleiste Pop-up-Fenster schauen.

Wie kann man denn den Ursprung solcher Pop-Fenster feststellen? Vielleicht durch den Link, der in der Statusleiste unten am Rand des Safari-Fensters erscheint, wenn man den Mauszeiger auf die Meldung setzt?

Falls dort kein Link erscheint, dann ist vielleicht die Statusleiste im Menü "Darstellung" ausgeschaltet.

Es handelt sich hier überhaupt nicht um ein Pop-Up-Fenster. Deshalb kann man es auch nicht unterdrücken.

Das ist betrügerische Werbung, die per JavaScript-Grafikeffekt einfach von der gerade aufgerufenen Webseite eingeblendet wird. Dagegen kann man nichts machen, außer JavaScript abzuschalten oder diese Webseite nicht mehr zu besuchen.

Avira oder irgendetwas von macOS oder Safari ist hier überhaupt nicht beteiligt.

Aber passt das mit der Aussage zusammen mit "die Meldung ploppt während des Surfens mit Safari ohne erkennbaren Zusammenhang irgendwann auf"?

Edit: Danke für die Antwort 👍 Aber das Pop-up müsste auf der auslösenden Website sein?

Ja, sowohl HTML 5 als auch JavaScript können event- oder zeitgesteuert grafische Effekte auf einer Webseite auslösen.

Und nicht nur deswegen ist ein Adblocker sehr wichtig. Damit kann man durchaus was dagegen machen.

In diesem speziellen Fall wird auch das nicht helfen, denn hier handelt es sich üblicherweise nicht um direkte Werbung, die erkennbar zugespielt wird. In der Regel ist die komplette aufgerufene Seite (oder die ganze Site, bzw. eine per "content syndication" zusammengeschaltete Gruppe mehrerer Sites) als web-basierte Schadsoftware zu betrachten, die versucht, den Benutzer anzugreifen. Das ist ein rein psychologischer Angriff, da die Schutzumgebung des Web-Browsers nicht überwunden wird. Erst in einem später folgenden zweiten Schritt wird der Benutzer verleitet, Software herunterzuladen, die dann echte Schadfunktionen hat.

Wäre halt schön, wenn hier eine Methode aufgezeigt würde, mit der man gegebenenfalls eindeutig herausfinden kann, wie dieses Overlay oder vermeintliches Overlay zustande gekommen ist.

Auch interessant: “41 Types of Popups to Use on Your Website + Examples [2025]“ .

Auf welchen Seiten taucht das denn auf? Sowas kann nur über die Seite selbst ausgespielt werden. Wenn das zum Beispiel auch hier bei MTN erscheint, kann eigentlich nur noch eine Safari-Extension der Grund sein.

@all
Vielen Dank für die vielen ausführlichen Rückmeldungen & sehr hilfreichen Infos.
Blöderweise habe ich den Zeitpunkt für die Fragestellung etwas ungünstig gewählt :
Karnevals- und urlaubsbedingt werde ich frühestens ab dem 10.03.25 wieder Zugriff auf den Rechner bekommen und die Lösungsvorschläge bzw. Analyse durchführen können.
Ich melde mich auf jeden Fall mit der dann aktuellen Lage.
Bis dahin
Stefan

Hallo zusammen,

hier der aktuelle Stand bzw. die Antworten zu den Fragen/Hinweisen:
- als Virenscanner ist (jetzt) Sophos Endpoint aus dem Businesspaket im Einsatz (Institutsvorgabe), zum Zeitpunkt der Meldung war aber keine AV-Software vorhanden
- Adblocker ist drauf (ABP), soweit ich das beurteilen kann mit passenden Einstellungen
- in der Seitenleiste/Mitteilungen & PopUps sind alle 'Nicht erlaubt bzw. Blockiert'
- in der Statusleiste wird die Adresse der besuchten Seite/angeklickter Tab angezeigt, da ich selbst aber nie diese Popupmeldung gesehen habe (s.u.) konnte ich noch nicht prüfen, wohin die verweist
- Erweiterungen/Extensions sind ausser dem angesprochenen ABP keine installiert

Ich schliesse mich der Erläuterung von Marcel an, dass es sich um eine missbräuchlich verwendete Javascript-Einblendung handelt, denn das Fenster lässt sich problemlos schliessen (bis es irgendwann wieder aufploppt). Aber der Zusammenhang ist nicht erkennbar. Dabei muss ich mich aber auf die Angaben der Mitarbeiterin verlassen, die 'nur' die üblichen vier bis fünf Webseiten aufruft, die sie bereits immer verwendet hat
Ich werde JavaScript mal testhalber deaktivieren (wenn sie dann nicht wg. funktionsunfähiger Webseiten Sturm läuft ) - ich selbst habe diese Meldung nie gesehen, sondern nur den Screenshot zugeschickt bekommen!
Inzwischen hat sich ein weiterer Kollege mit einem Windowssystem gemeldet, bei dem ebenfalls solche Popups erscheinen. Der Rechner ist für mich besser erreichbar, so dass dort die Ursachenforschung besser durchzuführen ist.
Ich melde mich, wenn es etwas Neues gibt.

Einen Hinweis auf den Ursprung liefert das Verhalten oder die Signalisierung der Wirkungsweise des Mauszeigers während man mit dem Mauszeiger über die Fläche der Meldung fährt, ohne die Maustaste zu betätigen.

Ist die Meldung von einer in macOS installierten Software erzeugt worden, dann ändert sich die Wirkungsweise der Maustaste, wenn man den Bereich der Schaltfläche "Scan" überstreicht.

Ist die Meldung durch Werbung auf der Website erzeugt worden, dann ist vermutlich die Wirkung überall im Bereich der Meldung dieselbe. Der Bereich der Schaltfläche spielt keine besondere Rolle. Das sieht man besonders schön auf Einblendungn, die mehrere vermeintliche Schaltflächen präsentieren. Während des Übergangs von einem Button zum nächsten ändert sich nichts.

Vielleicht mal im „Entwickler“ Menu von Safari die Konsole öffnen und die Elemente anzeigen lassen, die da ausgeführt werden. Vielleicht kommt man auf diese Weise dem Ursprung auf die Spur.
Bei anderen Browsern gibt es eine vergleichbare Konsole.

Sorry, hat etwas gedauert, aber die Auflösung des Ganzen ist (leider) sehr trivial:

Die Anwenderin hat sehr wohl eine Aktion getätigt: eine Webseite hat eine Mitteilung ausgelöst/geschickt und sie hat dann auf diese geklickt - sie sah da keinen Zusammenhang...
Meine Stirn und die Tischplatte kennen sich nun sehr gut

Die Popups bei dem Windowskollegen sind bisher nicht mehr aufgetaucht, obwohl ich an dem System noch nichts verändert habe.
Fällt wohl in die Kategorie 'Phänomene der IT'

Vielen Dank nochmals für die zahlreichen Tipps!

Das ist ein anderer Angriffsweg, der mit dem oben beschriebenen Bildschirmfoto nichts zu tun hat. Man kann natürlich beide Techniken miteinander verknüpfen oder ein Benutzer kann zufällig auf beiden Wegen gleichzeitig angegriffen werden, aber die oben beschriebenen Warnungsfenster sind zunächst einmal von den Falschwarnungen, die über abonnierte Web-Mitteilungen ausgelöst werden, komplett unabhängig.